RGPD : Il n’est pas trop tard pour se conformer

Si vous avez récemment découvert que vous devez vous conformer au Règlement Général Européen sur la Protection des Données (RGPD), et que vous ne cessez d’entendre parler des lourdes amendes en cas de non-conformité, il est probable que vous cédiez quelque peu à la panique.

Mais rassurez-vous il n’est pas trop tard. Premièrement, les rumeurs concernant la manière dont les autorités de contrôle essayeront de sanctionner les organisations ont été grandement exagérées.

De plus, vous pouvez continuer à mettre des mesures en place une fois la date butoir du 25 mai 2018 dépassée. Votre autorité de contrôle sera sûrement plus indulgente si vous prouvez être résolu à vous conformer au RGPD et avoir commencé à prendre les mesures nécessaires.

Une chose est sûre, vous devez agir au plus vite.

Ce blog couvre les quatre étapes essentielles qu’il faudrait idéalement avoir suivis avant la date de mise en application du règlement.

 

Créer une cartographie des données

Connaitre le qui, quoi, où, quand et pourquoi concernant la collecte et le traitement des données est une étape essentielle de mise en conformité.

Avant que vous ne puissiez mettre en place les mesures nécessaires afin de protéger des informations, vous devrez savoir quelles données sont collectées, où et pourquoi elles sont conservées et quand elles doivent être supprimées. Les entreprises n’ont souvent pas connaissance de toutes ces informations. C’est pourquoi une cartographie des données peut s’avérer utile. En effet, il s’agit d’un examen des moyens par lesquels les données sont déplacées d’un endroit à un autre.

Les éléments clés d’une cartographie de données sont :

  • Les données elles-mêmes (noms, données de carte, données biométriques, etc.) ;
  • Le format sous lequel les données sont conservées (copie papier, digitale, etc.) ;
  • Les méthodes de transfert (moyen par lequel elles sont communiquées – par exemple, via email ou téléphone – et si elles sont transférées en interne ou en externe) ; et
  • Le lieu (bureau, Cloud, tierces parties, etc.).

 

Changer vos méthodes de collecte des données

Le RGPD indique que les entreprises ne peuvent collecter les données que si elles ont une raison légitime et ne les conservent que pour la durée nécessaire au traitement. Pour de nombreuses organisations, cela signifie l’abandon de toutes les procédures standards consistant à collecter autant de données que possible et à les utiliser lorsqu’un besoin se présente.

Les entreprises devront plutôt informer les individus quant à la raison pour laquelle leurs données sont utilisées une fois collectées. Le RGPD met en avant six raisons légitimes que les entreprises peuvent utiliser afin de justifier le traitement des données. La plupart des organisations utilisent actuellement le consentement, mais le RGPD déconseille cette pratique en renforçant les exigences de consentement légitime. Le consentement ne devrait donc être utilisé que si aucune des six autres raisons légitimes n’est applicable.

 

Mettre en place les contrôles techniques appropriés

Le RGPD conseille aux organisations de pseudonymiser et/ou de chiffrer les données personnelles. Cela n’empêchera pas les agents malintentionnés d’accéder aux informations, mais leur rendra la tâche beaucoup plus compliquée. Selon l’indice de niveau de violation de donnée de Gemalto, seul 4% des violations de données depuis 2013 concernent des données chiffrées.

La pseudonymisation masque les données en remplaçant les données identifiables par des identifiants artificiels. Bien que cela soit essentiel à la protection des données – puisque mentionné 15 fois dans le RGPD – et puisse aider à protéger la confidentialité et la sécurité des données personnelles, la pseudonymisation a ses limites, c’est pourquoi le RGPD mentionne également le chiffrement.

Le chiffrement masque également les informations en remplaçant les identifiants par d’autres données. Mais, là où la pseudonymisation permet à toute personne ayant accès aux données de voir une partie des données, le chiffrement ne permet qu’aux utilisateurs autorisés d’accéder à l’ensemble des données.

La pseudonymisation et le chiffrement peuvent être utilisés simultanément ou séparément.

 

Eduquez vos employés

Toute personne interne à votre organisation et gérant des données personnelles doit connaitre ses obligations. Après tout, vos procédures et politiques de protection des données, aussi solides soient-elles, ne seront pas très utiles si vos employés ne les connaissent pas ou ne les suivent pas.

Il peut être difficile de mettre en place un programme qui couvre tout ce que vos employés devraient savoir, c’est pourquoi de nombreuses organisations utilisent des formations telles que la formation de sensibilisation du personnel au RGPD.

Cette formation propose une introduction aux principes clés du RGPD, y compris :

  • Les rôles clés de protection des données ;
  • Le champ d’application du RGPD ;
  • Les six principes de collecte et de traitement des données personnelles ; et
  • Comment se conformer au RGPD.

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.